Hola Luis, además de lo que comentas, es importante que antes de despromover el Controlador de Dominio a eliminar, es que lo tengas apagado durante unos días, de esta forma verificas que todo siga funcionando como debe
Recién luego de lo anterior se lo pone en línea y se lo despromueve
Ahora sobre tu pregunta puntual, el tema es que ese Controlador de Dominio que quieres quitar además es Autoridad Certificadora. Eso es lo que está avisando
Hagas o no uso de la Autoridad Certificadora seguramente ya ha emitido certificados, por lo menos a los Controladores de Dominio, y por lo tanto conviene migrar ese servicio al nuevo servidor
Dejo un enlace que tiene el paso a paso, es desde W2003 a W2012R2, pero el proceso tiene que ser totalmente análogo
Step-By-Step: Migrating The Active Directory Certificate Service From Windows Server 2003 to 2012 R2 – CANITPRO
https://blogs.technet.microsoft.com/canitpro/2014/11/11/step-by-step-migrating-the-active-directory-certificate-service-from-windows-server-2003-to-2012-r2/
Guillermo Delprato
Buenos Aires, Argentina
El Blog de los paso a paso
MVP - MCSE - MCSA2012
MCITP: Enterprise Administrator / Server Administrator
MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration
Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.